r   e   k   l   a   m   a
r   e   k   l   a   m   a

Windows 10 zabezpieczy Edge wirtualizacją – tak jak robi to Joanna Rutkowska

Strona główna AktualnościBEZPIECZEŃSTWO

Liczba zagrożeń dla bezpieczeństwa przeglądarek jakoś wcale nie maleje. Flash może i zanika, ale skutecznie w tej roli mogą zastąpić go własnościowe wtyczki DRM, niezbędne do oglądania np. Netfliksa. Microsoft zapowiada jednak nową architekturę, która problem zabezpieczania przeglądarek przeniesie na inny poziom. Może samej przeglądarki zabezpieczyć się nie da, ale co, jeśli bezpieczeństwo użytkownika będzie gwarantowane przez Windowsa? W ten sposób działa właśnie technologia o dość typowej dla Microsoftu nazwie – Windows Defender Application Guard for Microsoft Edge, która trochę przypomina to, co Joanna Rutkowska robi w systemie QubesOS.

Podwaliny pod nią w Windowsie 10 przyniosła rocznicowa aktualizacja systemu. Virtualization Based Security (VBS) wykorzystuje hiperwizor Hyper-V, by izolować niektóre wrażliwe dane i procesy od reszty systemu. Najważniejszy z tak izolowanych komponentów systemowych to Credential Guard, wykorzystywany do przechowywania danych logowania do sieci i kryptograficznych skrótów haseł, tak by nie dało się wydostać ich z systemu popularnymi żniwiarkami (o ile nie są uruchomione w trybie awaryjnym).

Taka wirtualna maszyna VBS jest maleńka, działa w niej tylko kilka prostych procesów. Nie ma co tego porównywać do przeglądarki, która jest wręcz systemem operacyjnym samym w sobie, co więcej ma też własne mechanizmy izolacji – piaskownicę (sandbox), w której uruchamiany jest kod ze stron internetowych. Piaskownica ma w teorii bardzo ograniczony dostęp do systemu, ale jak praktyka pokazuje, przeróżne exploity pozwalają się z niej wydostać i uruchomić zdalnie złośliwy kod (kiedy to ostatni raz widzieliśmy biuletyny bezpieczeństwa Microsoftu bez łatek na Internet Explorera/Edge?)

r   e   k   l   a   m   a

W kolejnych wydaniach Windowsa 10, przeglądarka Edge miałaby jednak zostać objęta taką samą ochroną, jak wspomniany Credential Guard. Mechanizm Application Guard uruchamiałby większość jej kodu w wirtualnej maszynie. W środku takiej maszyny nie byłoby oczywiście całego Windowsa, tylko te fragmenty jądra i usługi, które potrzeba do uruchomienia przeglądarki. Wirtualizacja byłaby barierą nie do przebicia – nawet jeśli złośliwy kod „uciekłby” z piaskownicy, to miałby dostęp tylko do tej minimalnej wersji systemu, nie widziałby lokalnych zasobów, żadnych innych aplikacji, nie mówiąc już o jądrze systemu-gospodarza.

Początkowo Windows Defender Application Guard for Microsoft Edge będzie dostępny, jak sama nazwa wskazuje, tylko dla przeglądarki Edge, i to tylko w Windows 10 Enterprise. Żadna inna aplikacja nie będzie mogła skorzystać z API tego mechanizmu. Poprzez zarządzanie politykami grup będzie można oznaczyć jednak pewne strony jako zaufane, bezpieczne – i wówczas Edge będzie się uruchamiało poza maszyną wirtualną. Będzie można też ustawić, co z tymi niezaufanymi stronami jest dopuszczalne, np. czy można je drukować lub lokalnie zapisywać.

Kolejnym krokiem miałoby być wprowadzenie takiej ochrony w konsumenckich wersjach Windowsa, i to tak by obejmowała też inne, popularniejsze od Edge przeglądarki, ale póki co rozbija się to o wiele problemów technicznych. Przede wszystkim obcowanie z takim zwirtualizowanym Edge jest jak korzystanie z przeglądarki non stop w trybie incognito: wszystkie zapisywane dane, ciasteczka, hasła są ulotne, znikają po zamknięciu programu. Do tego dochodzi problem kompatybilności z innym oprogramowaniem – jako że takie zabezpieczenie wykorzystuje Hyper-V, a ten wymaga sprzętowej wirtualizacji na poziomie procesora (Intel VT-d lub AMD-V), to nie uruchomimy już wówczas innych hiperwizorów, np. VirtualBoksa czy VMware Workstation. Nie ruszą także emulatory Androida, takie jak Bluestacks.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.